问题描述:
故障描述:
防火墙不接trust口只接untrust口的时候,笔记本电脑可以正常ping通210.21.X.X的IP地址;但一接上trust口,ping通untrust口几个包后就ping不通了。本来是要实现SSL VPN接入的方案,现在出现这个问题,没法往下配置了。。。。
组网及组网描述:
组网描述:
1、防火墙4口为Trust安全域(128.10.0.254/24),接三层交换机(接口IP 128.10.0.1),三层交换机同vlan接口下接一台PC(IP 128.10.0.2);
2、防火墙5口为Untrust域(固定公网IP地址210.21.X.X,网关为210.21.X.1);
3、配置了untrust到local安全策略,及trust到untrust的安全策略(所有参数为any);
4、另外一台笔记本电脑连接手机热点上网,可ping通防火墙公网IP地址及其网关(防火墙4口不接上时)。
- 2022-03-21提问
- 举报
-
(0)
最佳答案
可以看下接上trust的接口时,流量是否很大,此时设备cpu、内存等是否正常;或者trust到untrust的安全策略增加下过滤条件,不要使用any。
- 2022-03-21回答
- 评论(0)
- 举报
-
(0)
先看会话:
display session table ipv4 destination-ip 210.21.X.X verbose
看看来回路径上的packets数量对不对。
再做debugging:
acl advanced 3000
rule permit ip destination
210.21.X.X 0
然后在<>视图下
debugging packet-filter packet ip acl 3000
debugging aspf packet acl 3000
debugging object-policy packet ip acl 3000
debugging security-policy packet ip acl 3000
terminal monitor
terminal debugging
这时候ping 210.21.X.X看看回显信息有没有说报文被什么东西deny了。
还不行的话,镜像抓包。
要是抓包都查不到原因,建议收集诊断信息,拨打400-810-0504寻求帮助。
- 2022-03-21回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论